Apa yang perlu Anda ketahui
- LastPass mengatakan bahwa brankas kata sandi pelanggan telah berakhir di tangan penjahat dunia maya.
- Para peretas menggunakan informasi yang mereka peroleh dari insiden sebelumnya yang diungkapkan LastPass Agustus lalu.
- Kata sandi utama tetap aman dan LastPass mengatakan butuh jutaan tahun bagi peretas untuk menebaknya.
Pelanggaran keamanan yang diungkapkan oleh LastPass pada bulan Agustus lebih buruk dari yang diperkirakan sebelumnya. LastPass telah mengonfirmasi bahwa penjahat dunia maya menggunakan informasi yang diperoleh dari insiden sebelumnya untuk mendapatkan brankas kata sandi terenkripsi dan data pelanggan lainnya.
Menurut pembaruan terbaru dari pengelola kata sandi, peretas dapat "menyalin cadangan data brankas pelanggan dari wadah penyimpanan terenkripsi," yang berisi data tidak terenkripsi seperti URL dan bidang data terenkripsi seperti nama pengguna dan kata sandi situs web, catatan aman, dan formulir yang diisi data.
LastPass mengatakan pada bulan Agustus bahwa sementara peretas memperoleh akses ke bagian dari lingkungan pengembangannya, tidak ada data pelanggan yang disusupi. Beberapa bulan kemudian, perusahaan mengungkapkan bahwa "elemen tertentu" dari data pelanggan
benar-benar terpengaruh oleh insiden keamanan.Pelaku ancaman memperoleh akses ke kode sumbernya dan data teknis lainnya dan menggunakan informasi ini untuk mengkompromikan akun pengembang LastPass. Para peretas akhirnya mencuri salinan cadangan dari brankas kata sandi pengguna sebagai akibat dari insiden tersebut.
Untungnya, penjahat dunia maya tidak akan dapat membuka brankas kata sandi terenkripsi tanpa kata sandi utama, yang hanya diketahui oleh pemilik akun. Perusahaan menekankan bahwa kata sandi utama dilindungi oleh arsitektur Zero Knowledge-nya, yang berarti bahkan LastPass pun tidak mengetahuinya.
Namun, LastPass telah memperingatkan pelanggan bahwa peretas “mungkin mencoba menggunakan kekerasan untuk menebak kata sandi utama Anda dan mendekripsi salinan data vault yang mereka ambil." Hal ini kemungkinan mengingat bahwa brankas kata sandi sekarang berada di tangan ancaman aktor.
Selain brankas kata sandi, peretas memperoleh akses ke harta karun data, termasuk nama, alamat email, nomor telepon, dan beberapa informasi penagihan. Pemilik akun LastPass yang terpengaruh juga berpotensi rentan terhadap "serangan phishing, kredensial isian, atau serangan brute force lainnya terhadap akun online" yang ditautkan ke LastPass mereka kubah.
Pelanggaran keamanan ini berfungsi sebagai pengingat bahwa bahkan pengelola kata sandi terbaik rentan terhadap serangan. Sebaiknya jangan pernah menggunakan kata sandi yang sama untuk semua akun daring Anda. Dalam hal ini, LastPass merekomendasikan untuk tidak menggunakan kata sandi utama Anda di situs web lain. Lebih baik lagi, disarankan agar Anda mengganti kata sandi master LastPass Anda saat ini dengan kombinasi unik dan melindungi akun Anda autentikasi dua faktor.